Kami mendengar banyak tentang kesenjangan keterampilan keamanan siber, yang menurut penelitian terbaru mencapai 3,4 juta secara global. Ada banyak alasan mengapa organisasi menghadapi kekurangan keterampilan — mulai dari kekurangan bakat yang memenuhi syarat hingga faktor internal termasuk perputaran, kurangnya anggaran/upah yang kompetitif, peluang terbatas untuk pertumbuhan dan promosi, dan kurangnya pelatihan.
Salah satu aspek yang berada dalam kendali perusahaan, tetapi sering diabaikan, adalah praktik perekrutan yang tidak realistis. Meskipun ini bisa menjadi masalah di semua sektor — lagipula, setiap bisnis ingin memastikan bahwa mereka melibatkan orang-orang yang sangat berpengalaman — tampaknya ada masalah khusus seputar perekrutan keamanan siber.
Tidak jarang perusahaan membutuhkan pengalaman tiga hingga lima tahun untuk posisi keamanan siber “tingkat awal”. Apakah karena anggaran tidak sesuai dengan kebutuhan? Apakah program pelatihan internal tidak mencukupi atau tidak ada? Apakah perusahaan tidak menghargai bahwa pengalaman yang dapat diterapkan dapat datang melalui berbagai jalan dan mengambil berbagai bentuk? Apakah mempekerjakan manajer terjebak di masa lalu ketika program keamanan siber yang ketat bukan bagian dari kurikulum universitas? Ataukah keyakinan bahwa sifat berisiko tinggi dari keamanan dunia maya berarti Anda membutuhkan veteran yang tangguh dalam pertempuran, bukan rekrutan baru, di garis depan pertahanan dunia maya? Apa pun alasannya, posisi ini sering tidak terisi atau menghasilkan pergantian yang tinggi.
Berikut adalah lima hal yang dapat dilakukan pemberi kerja untuk memperluas tenaga kerja mereka dan meletakkan dasar yang kokoh untuk pertumbuhan tim keamanan mereka di masa mendatang.
1. Pertimbangkan tingkat keamanan siber sebagai komponen penting dari perjalanan pengalaman. Jumlah universitas di Inggris yang menawarkan gelar dalam keamanan siber (atau ilmu komputer dengan spesialisasi keamanan siber) meningkat pesat. Tiga puluh satu institusi menawarkan kursus tingkat sarjana atau lebih tinggi, dengan banyak yang disertifikasi oleh NCSC. Banyak di antaranya termasuk penempatan industri yang memungkinkan mahasiswa memperoleh pengalaman dunia nyata yang dapat mereka bawa langsung ke pekerjaan pasca sarjana. Ada juga minat akar rumput yang meningkat untuk mengambil gelar ilmu komputer dan keamanan siber, dengan entri ke mata pelajaran sains tunggal meningkat di tingkat GCSE, dan Matematika menjadi mata pelajaran A Level yang paling umum diambil pada tahun 2022. Hal ini akan berarti lebih banyak kandidat yang memilih teknik atau sains gelar berbasis, termasuk ilmu komputer.
2. Membangun program magang yang kuat. Magang dan magang gelar menjadi jalur yang semakin populer sebagai alternatif untuk pendidikan universitas penuh waktu dan bonusnya adalah memungkinkan bisnis untuk mengidentifikasi bakat pada tahap awal. Perusahaan dapat memilih untuk bermitra dengan institusi pendidikan untuk menawarkan penempatan atau menjalankan program mereka sendiri secara internal untuk menghasilkan bakat. Ini adalah taktik yang sudah digunakan di sektor mainframe, di mana demografi ahli yang menua mengancam krisis sumber daya yang nyata. Sekarang beberapa operator mainframe dan bisnis yang mendukung mereka berinvestasi pada talenta muda untuk mengisi kekosongan. Ini adalah cara yang bagus untuk melihat apakah ada kecocokan antara organisasi dan kandidat dan membangun jalur bakat untuk mengisi posisi level awal yang terbuka.
3. Cari kandidat dari dalam. Perputaran sering terjadi karena karyawan menjadi bosan atau tidak melihat peluang untuk naik. Dan biaya yang harus dikeluarkan perusahaan bisa mengejutkan — 33 persen hingga 200 persen dari gaji karyawan yang keluar untuk menggantikan mereka. Pelatihan adalah win-win karena dapat membantu mengurangi defisit keterampilan dan meningkatkan retensi. Perusahaan bahkan tidak perlu berinvestasi besar-besaran dalam membangun program pendidikan mereka sendiri. Sebaliknya, memungkinkan karyawan untuk mengembangkan keterampilan teknis dan cybersecurity dasar melalui sejumlah kursus online yang tersedia dari kelompok yang dihormati termasuk: CompTIA Security+, ISACA Cybersecurity Fundamentals, dan (ISC)2 System Security Certified Practitioner (SSCP).
4. Kenali nilai pengalaman kerja terkait dengan bidang keamanan siber. Jenis pengalaman kerja apa pun yang berfokus pada pemecahan masalah dan bekerja dengan pelanggan, seperti bekerja di meja bantuan, diterjemahkan dengan baik menjadi bekerja dalam keamanan siber. Mempelajari cara mencapai akar masalah dan menangani pelanggan yang kecewa memberikan dasar yang kuat bagi pelamar kerja untuk membangunnya. Kandidat dengan posisi dalam peran layanan dan dukungan membawa keterampilan yang berharga termasuk mendengarkan dan empati, serta kemampuan pemecahan masalah dan pengambilan keputusan, yang penting di sejumlah bidang termasuk pengujian, jaminan kualitas (QA), dan pengembangan produk. Seperti yang sering terlihat di pasar tenaga kerja, keterampilan dapat diajarkan, tetapi sikap lebih sulit untuk dikembangkan. Jika calon kandidat memiliki sikap dan empati yang benar untuk menjadi spesialis keamanan siber yang baik, mereka tidak boleh diabaikan hanya karena tidak memiliki kualifikasi teknis ini atau itu. Bagaimana iklan dibingkai juga penting jika organisasi ingin menarik lebih banyak kandidat. Berfokus pada atribut pribadi daripada kepatuhan kaku pada kualifikasi dapat membawa lebih banyak perempuan dan kelompok yang kurang terwakili ke meja perundingan. Dengan beragam bisnis yang terbukti lebih baik daripada rekan monokultural mereka, ada baiknya mempertimbangkan untuk mengubah iklan Anda untuk menarik lebih banyak pelamar.
5. Mengotomatiskan berbagai elemen keamanan siber. Laporan ThreatQuotient 2022 State of Cybersecurity Automation Adoption menemukan bahwa organisasi menjadi lebih percaya diri dalam otomatisasi. Pertimbangkan untuk menggunakan pendekatan otomatisasi yang seimbang di mana Anda mengotomatiskan tugas yang berulang, berisiko rendah, dan memakan waktu, sementara analis manusia memimpin penyelidikan tidak teratur, berdampak tinggi, sensitif waktu dengan otomatisasi yang menyederhanakan beberapa pekerjaan. Hal ini mengurangi jumlah orang tingkat pemula yang dibutuhkan serta kelelahan dengan memungkinkan analis untuk fokus pada aktivitas bernilai lebih tinggi yang lebih bermanfaat. Faktanya, organisasi melaporkan bahwa kesejahteraan dan retensi karyawan secara teratur digunakan sebagai bagian dari perhitungan ROI otomatisasi keamanan siber mereka. Selain itu, sederhanakan kerumitan dengan mengadopsi platform otomatisasi keamanan siber dengan antarmuka rendah atau tanpa kode. Solusi yang memberikan pilihan tanpa kode melalui pembuat pedoman yang sederhana, serta opsi untuk membuat kode menggunakan format standar seperti JSON atau YAML untuk mendukung persyaratan yang lebih lanjut, dapat membuat otomatisasi dapat diakses oleh berbagai pengguna dengan berbagai keahlian.
Kami telah berbicara tentang kesenjangan keterampilan keamanan siber selama bertahun-tahun. Mari kita mulai memecahnya menjadi potongan-potongan yang lebih mudah dikelola dan didekati. Saat kami berfokus pada perekrutan tingkat awal dengan harapan yang realistis, program magang yang kuat, dan pelatihan internal serta pengembangan profesional, sambil mengotomatiskan dan menyederhanakan berbagai aspek keamanan siber, kami dapat membuat kemajuan dan mulai membina pemimpin keamanan generasi berikutnya.
Kredit Gambar: wan wei/Shutterstock
Leon Ward adalah Wakil Presiden Manajemen Produk, ThreatQuotient.
